WHITE PAPER 1

LAS APLICACIONES EN LA NUBE PROPORCIONAN VELOCIDAD A LOS USUARIOSCada vez son más las organizaciones que utilizan aplicaciones en la nube. La informática en la nube representa actualmente el 23 por ciento del gasto en TI. Su uso es cada vez mayor ya que permite a los usuarios llevar a cabo sus tareas de una forma más rápida, sencilla y flexible que las herramientas informáticas tradicionales. Las aplicaciones en la nube, el segmento de la informática en la nube más visible y utilizado, han proliferado en las empresas y actualmente han alcanzado un momento clave. Forrester predice que el mercado SaaS alcanzará un total de 93 mil millones de dólares estadounidenses en 2016. Netskope™ calcula que son miles las aplicaciones en la nube que están en uso en las empresas actualmente.

Las aplicaciones en la nube son cada vez más habituales en casi cualquier tipo de empresa. En ocasiones, el motivo es que son más baratas de adquirir y manejar. Otras veces se debe a que los usuarios quieren ser ágiles, poder implementar una aplicación de una forma más rápida y beneficiarse de las últimas características de los productos antes de lo que permiten las aplicaciones de software locales. En otras ocasiones, el motivo es que los usuarios no quieren tener que coordinar las distintas herramientas de control (operaciones, hardware, redes y seguridad) necesarias para que un software funcione de forma satisfactoria. Las aplicaciones en la nube han alcanzado un nivel de madurez y riqueza de características tal que se han convertido en la corriente dominante. De hecho, están llegando a un momento clave dentro de las organizaciones. IDC espera que aproximadamente un tercio de las empresas destine más de la mitad de sus gastos de TI a la nube pública en el año 2016.

UNA OPORTUNIDAD PARA EL DEPARTAMENTO DE TI Y PARA EL NEGOCIOSi bien es el departamento de TI quien asume la propiedad o la responsabilidad de algunas de las aplicaciones en la nube, son ahora los usuarios, más que nunca, quienes gozan de las facultades necesarias para desvincularse del departamento de TI e implementar sus propias aplicaciones. Esto significa que los usuarios compran, pagan, administran y utilizan estas aplicaciones sin la participación del departamento de TI. Se trata de algo positivo para el negocio, ya que permite que los usuarios lleven a cabo sus tareas de una forma más eficiente. No obstante, también implica la imposibilidad de que el departamento de TI pueda gestionar de forma uniforme todas las aplicaciones en la nube presentes en toda la organización (tanto las autorizadas por la organización como las procedentes de la práctica de "TI en la sombra") y que no pueda proporcionarles seguridad ni ser capaz de establecer controles de cumplimiento o seguridad.

Más allá de la práctica de "TI en la sombra", parte de la responsabilidad de la habilitación de aplicaciones en la nube a menudo recae sobre el departamento de TI. En algunos casos, la implementación de una aplicación en la nube es un proyecto totalmente nuevo para la organización. En otros, se trata de una migración desde una aplicación tradicional.

Ya sea una aplicación autorizada por la organización o de una práctica de "TI en la sombra", el uso de aplicaciones en la nube va en aumento y los altos ejecutivos, consejos de administración y comités de auditoría de todo el mundo están empezando a preguntarse si las tecnologías en la nube de su entorno son seguras, satisfacen las políticas comerciales, cumplen los acuerdos de nivel de servicio de los proveedores, son rentables y están optimizadas para un uso comercial.

Una vez que el departamento de TI pueda responder afirmativamente a estas preguntas y logre disipar estas preocupaciones, será capaz de autorizar aplicaciones en la nube y ponerlas a disposición de los usuarios de una forma óptima. El departamento de TI puede arrojar algo de luz sobre la práctica de "TI en la sombra", educar e informar a los usuarios de aplicaciones en la nube de los riesgos y de las posibilidades que estas ofrecen, e incorporar las aplicaciones en la nube de una forma segura.

Ahora es el momento para lograr una visibilidad completa de las aplicaciones en la nube de su organización. A continuación, con la ayuda de sus homólogos de línea de negocio y seguridad, será capaz de tomar decisiones e instaurar políticas granulares para hacer que estas aplicaciones sean seguras, cumplan las políticas comerciales y ofrezcan un elevado rendimiento.

MAZO O BISTURÍEn ocasiones, las organizaciones tienden a cerrarse en banda cuando se enfrentan a una tecnología desconocida. Esto se debe a que muchas de las herramientas de las que dispone el departamento de TI para detectar y eliminar tecnología engañosa son binarias, por lo que solo permiten elegir entre "sí" o "no". Pero, ¿qué sucedería si se pudiera adoptar un enfoque más amplio?

En lugar de acabar de un mazazo con las aplicaciones que los usuarios desean utilizar, ¿qué sucedería si pudiera decir que "sí" a casi todas las aplicaciones favoritas de los usuarios y, a continuación, extirpara, tal y como lo haría un cirujano, ciertas actividades para hacer que el uso de estas aplicaciones fuera aceptable para su organización desde el punto de vista del cumplimiento y de la seguridad? Este enfoque le concedería un papel de colaborador y promotor de la empresa en lugar de ser el que siempre dice a todo que "no". Además, este enfoque le permitirá adoptar rápidamente aquellas aplicaciones en la nube cuyo uso ha venido defendiendo, pero cuya implantación se ha visto ralentizada debido a preocupaciones relacionadas con el cumplimiento y la seguridad. El uso de un bisturí en lugar de un mazo para solucionar el problema preparará el camino hacia una nube de confianza.

Los 5 pasos hacia la confianza en la nube

WHITE PAPER 2

CINCO PASOS HACIA LA CONFIANZA EN LA NUBE¿Qué pasos hay que dar para lograr la confianza en la nube? Hemos identificado los cinco pasos siguientes: 1. Detectar las aplicaciones en la nube que se encuentran en ejecución en la empresa y comprender su riesgo; 2. Entender el uso que se está haciendo de dichas aplicaciones; 3. Usar herramientas de análisis para realizar un seguimiento del uso, detectar anomalías y llevar a cabo estudios minuciosos; 4. Identificar y evitar la pérdida de datos confidenciales; y 5. Aplicar sus políticas de cumplimiento y seguridad en cualquier aplicación en la nube o categoría de aplicación en tiempo real. Haremos un recorrido por cada uno de estos cinco pasos y le proporcionaremos una breve lista de comprobación en cada paso.

Definamos el escenario con un modelo de caso.

El departamento de TI de Acme no ha sido capaz de autorizar el uso de aplicaciones en la nube para su negocio (ni ayudar a implementarlas), ya que no puede ver qué aplicaciones están usando sus empleados ni qué están haciendo en ellas. Como administradores de una empresa pública, los ejecutivos de Acme deben ser capaces de certificar, a efectos de cumplimiento, que solo el personal autorizado ha tenido contacto con datos y sistemas clave, y que cualquier uso o modificación se han llevado a cabo de la forma correcta y precisa. Con un número cada vez mayor de aplicaciones en la nube entrando en escena en una organización como Acme, con una enorme cantidad de datos de gran relevancia para la empresa, al equipo de gestión le preocupa no poder garantizar la exactitud de estas declaraciones.

Detectar todas las aplicaciones en la nube y conocer el riesgoPara sentar los cimientos de la confianza en la nube, el departamento de TI de Acme debe dar el primer paso: detectar todas las aplicaciones en la nube que se encuentran en ejecución en la organización. Esto incluye tanto las aplicaciones autorizadas por el departamento de TI de Acme como las que este desconoce. Para obtener una visión completa, el departamento de TI debe detectar no solo aquellas aplicaciones a las que se accede desde los equipos portátiles y de sobremesa situados dentro de las cuatro paredes del lugar de trabajo, sino también desde equipos portátiles y dispositivos móviles remotos, independientemente de que se traten de aplicaciones nativas o basadas en navegador como, por ejemplo, un cliente de sincronización. Una vez detectadas dichas aplicaciones, el departamento de TI debe evaluar cada una de las aplicaciones con respecto a un conjunto de criterios objetivos relacionados con la seguridad, la auditabilidad y la continuidad del negocio, así como el riesgo que suponen dichas aplicaciones en función del uso que la organización hace de ellas.

4 Detectar todas las aplicaciones en la nube, tanto autorizadas por la organización como procedentes de la práctica de "TI en la sombra" 4 Incluir las aplicaciones en la nube en ejecución en las instalaciones, de forma remota o en dispositivos móviles u ordenadores personales 4 Puntuar las aplicaciones según su adecuación a la empresa, en términos de seguridad, auditabilidad y continuidad del negocio 4 Evaluar el riesgo de estas aplicaciones en función del uso que la organización hace de ellas 4 Tomar decisiones basadas en el riesgo sobre si estandarizar determinadas aplicaciones y realizar la migración de los usuarios a las mismas

Comprender el uso y el contexto de las aplicaciones en la nubeUna vez detectadas todas las aplicaciones en la nube que se encuentren en ejecución en la organización, el departamento de TI de Acme debe ser capaz de profundizar en la información referente a dichas aplicaciones y comprender la forma en que los usuarios las utilizan. Este segundo paso implica comprender el uso contextual de estas aplicaciones, incluyendo conocer datos como la identidad de los usuarios o del grupo, el tipo de dispositivo utilizado por los usuarios, información sobre el navegador, así como datos de geolocalización y hora; si se trata de una aplicación en la nube, una instancia de aplicación o una categoría de aplicación; las actividades específicas de la aplicación como, por ejemplo: "descargar", "compartir" o "editar"; el tipo de contenido y el nombre del objeto o archivo; el perfil de DLP, si procede; y dónde y con quién se comparte el contenido.

4 Explorar en profundidad la identidad del usuario, por ejemplo, usuario, grupo, dispositivo, navegador, geolocalización y hora4 Conocer la aplicación, por ejemplo, si se trata de una aplicación, una instancia de aplicación o una categoría de aplicación4 Determinar cuáles son las actividades de las aplicaciones en la nube como, por ejemplo, "descargar", "cargar", "compartir", "editar" o actividades

administrativas, así como saber con quién se ha compartido el contenido, si procede4 Ver detalles de contenido como, por ejemplo, el tipo de contenido, el nombre de objeto o archivo y el perfil de DLP, si procede4 Llevar a cabo un descubrimiento electrónico del contenido existente en reposo dentro de una aplicación, e incluso compararlo con un perfil de DLP

Herramientas de análisis para seguimiento, detección de anomalías y estudios minuciososAhora que el departamento de TI de Acme sabe qué aplicaciones en la nube son relevantes según la postura de cumplimiento de la organización que se basa en los conceptos de categoría y uso, debe ser capaz de analizar aquellas actividades que van en contra de las políticas, utilizando para ello cualquiera de los parámetros descritos anteriormente. El departamento de TI también debe ser capaz de utilizar herramientas de análisis para detectar anomalías e identificar conductas de riesgo y posibles filtraciones o pérdidas de datos.

En función de las normativas y las operaciones comerciales de Acme, las preguntas relativas al cumplimiento ocuparán los primeros puestos. El departamento de TI debe ser capaz de responder a preguntas concretas, entre las que se incluyen: "¿Qué personas de mi centro de atención telefónica de Bulgaria están accediendo a mi sistema de CRM y qué están haciendo concretamente?" "¿Qué personas de mi grupo de relaciones con los inversores están compartiendo documentos desde nuestra aplicación de almacenamiento

en la nube durante el "período de espera" de la empresa?" "¿Ha descargado alguien que no sea director de RR. HH. datos relacionados con los salarios de cualquier aplicación en la nube durante los últimos tres

meses?" "¿Se ha descargado o compartido información de forma excesiva, de modo que dicha acción pudiera ser indicativa de una filtración de datos?"

Más allá de observar los datos de acceso y actividad de las aplicaciones en un momento concreto, Acme desea poder llevar a cabo un "cumplimiento continuado" o disponer de una visibilidad continua e ininterrumpida de todas las actividades que pudieran afectar al cumplimiento de las políticas de la organización. El departamento de TI debe ser capaz de convertir cualquier consulta analítica en un informe o una lista de observación, donde cualquier evento definido o cualquier desviación con respecto a la línea de referencia desencadenen una acción.

WHITE PAPER 3

Llevemos el caso de Acme más allá del cumplimiento y digamos que, durante el transcurso de los análisis, el departamento de TI descubre actividades sospechosas. Los analistas sospechan que, pocos días antes de abandonar Acme Corp. para irse a una empresa de la competencia, un empleado ha filtrado información mediante la descarga de datos privados de una de las aplicaciones en la nube de la empresa y, a continuación, ha cargado el archivo en una aplicación de almacenamiento en la nube a la que accede mediante sus credenciales de inicio de sesión personales. Al departamento de TI le gustaría ser capaz de crear una pista de auditoría minuciosa que muestre cada una de las acciones llevadas a cabo por el usuario en la aplicación en la nube tanto antes como después del incidente. De este modo, el departamento de TI podría no solo detectar comportamientos sospechosos, sino también probar que se ha producido una infracción y demostrar de una forma clara que ha tenido lugar una actividad malintencionada o incluso delictiva.

Además del análisis del cumplimiento y de la seguridad, a Acme Corp. le gustaría analizar el uso de las aplicaciones en la nube desde el punto de vista de la optimización y del rendimiento, y entender conceptos como tiempo de actividad y latencia no sólo en las aplicaciones, sino también en las ubicaciones de los usuarios, los tipos de dispositivos y los períodos de tiempo. Esta información podría ayudar a Acme a mantener a sus proveedores de aplicaciones en la nube dentro de los acuerdos de nivel de servicio establecidos y a tomar mejores decisiones relacionadas con la planificación del tráfico y la consolidación de aplicaciones.

4 Realizar análisis en profundidad sobre el comportamiento de los usuarios, utilizando cualquiera de los parámetros de visibilidad descritos anteriormente

4 Comprobar la actividad y el comportamiento de los usuarios con respecto a las líneas de referencia para detectar anomalías 4 Analizar el rendimiento de las aplicaciones en la nube como, por ejemplo, tiempo de actividad, latencia y cumplimiento de los acuerdos de nivel de

servicio 4 Realizar análisis minuciosos de las actividades de los usuarios que dan lugar a incidentes o infracciones

Prevención de la pérdida de datos en la nubeAdemás de comprender la actividad de las aplicaciones en la nube y la posible pérdida de datos, el departamento de TI de Acme necesita saber si los datos confidenciales se escapan a su control. Es necesario aprovechar el trabajo que se ha hecho durante la última década en la industria de la seguridad para aplicar controles de datos similares a la nube. Esto incluye incorporar los identificadores de datos habituales del sector a las normas de DLP, y combinar estas normas para crear perfiles de DLP que se puedan incorporar a políticas granulares concretas. Al proporcionar un contexto a los casos de posibles fugas de datos, Acme puede garantizar un menor número de falsos positivos y una mayor precisión de sus políticas de DLP.

4 Crear perfiles de DLP relevantes para las aplicaciones en la nube, que incluyan información de identificación personal, información de las tarjetas de pago, información electrónica sobre la salud personal, etc.

4 Basar los perfiles de DLP en las normas y los identificadores de datos habituales del sector. También es necesario incorporar un contexto generoso (aplicaciones, usuarios, hora, ubicación y actividades de los usuarios) a las políticas de DLP

4 Descubrir el contenido en reposo ya presente en las aplicaciones y llevar a cabo acciones como, por ejemplo, modificar la propiedad, poner en cuarentena o cifrar

4 Definir políticas de DLP que se hagan efectivas no solo en una aplicación, sino en una categoría completa o de forma global, en caso necesario 4 Asegurarse de que las políticas de DLP se pueden aplicar en tiempo real antes de que se produzca una filtración de datos

Proporcionar seguridad a las aplicaciones en la nube mediante la aplicación de políticas en tiempo realUna vez que el departamento de TI de Acme ha analizado el uso de la nube de la organización con respecto a sus políticas y ha descubierto las posibles ineficiencias, filtraciones y riesgos relacionados con los datos puede empezar a tomar medidas. Revisemos la argumentación de que el uso de un bisturí, y no de un mazo, para la aplicación de políticas es la mejor forma de lograr la confianza en la nube. El departamento de TI de Acme es consciente de esto, y no quiere solo dar su visto bueno con seguridad a las aplicaciones que ya están en uso, sino que quiere migrar más sistemas de TI a la nube. Acme quiere poder definir políticas concretas y sofisticadas basadas en los mismos parámetros que analiza. Por ejemplo, Acme desea: Permitir el uso de aplicaciones de colaboración, pero evitar que los datos se compartan con personas de fuera de la empresa No permitir cargas de archivos a aplicaciones de almacenamiento en la nube que contengan datos de propiedad intelectual o con un alto nivel de

confidencialidad, que en caso de pérdida, robo o modificación, podrían causar graves daños a la empresa Permitir que el personal de los departamentos financieros y de RR. HH. de todo el mundo pueda acceder a aplicaciones de contabilidad, finanzas

o recursos humanos, pero impedir que cualquier persona fuera de EE. UU. pueda descargar información relacionada con los salarios Cifrar el contenido confidencial en contexto a medida que se cargue o si ya se encuentra en aplicaciones en la nube

4 Aplicar políticas granulares concretas basadas en cualquier parámetro de visibilidad o perfil de DLP descrito anteriormente 4 Definir las políticas una sola vez y que se apliquen en tiempo real a cualquier aplicación, a nivel de categoría, a nivel de aplicación o de forma global 4 Aplicar políticas independientemente de que el usuario pueda gestionar o no la aplicación, o incluso aunque disponga de privilegios administrativos 4 Aplicar políticas en tiempo real, antes de que se produzca el comportamiento o evento no deseado 4 Ofrecer a los usuarios formación sobre infracciones de políticas para que conozcan cuáles son los comportamientos de riesgo y crear transparencia

Estos 5 pasos componen el marco para la confianza en la nube. La posibilidad de poner en marcha estos cinco pasos significa que el departamento de TI de Acme puede dar un visto bueno general a las aplicaciones en la nube que Acme Corp. desea utilizar, al mismo tiempo que limita ciertos riesgos o comportamientos dentro de las aplicaciones que no cumplen con las políticas:

1. Detectar las aplicaciones en la nube que se encuentran en ejecución en la empresa y comprender su riesgo2. Entender el uso que se está haciendo de dichas aplicaciones3. Usar herramientas de análisis para realizar un seguimiento del uso, detectar anomalías y llevar a cabo estudios minuciosos4. Identificar y evitar la pérdida de datos confidenciales5. Aplicar sus políticas de cumplimiento y seguridad en cualquier aplicación en la nube o categoría de aplicación en tiempo real

WHITE PAPER 4

RESUMEN Y LISTA DE COMPROBACIÓN DE LA CONFIANZA EN LA NUBE

NETSKOPE ACTIVE PLATFORMTM: CONTROL EN TIEMPO REAL DE CUALQUIER APLICACIÓN EN LA NUBE, TANTO SI EL DEPARTAMENTO DE TI LA GESTIONA COMO SI NONetskope™ es líder en habilitación segura de aplicaciones en la nube. Netskope Active Platform™ permite a los departamentos de TI detectar y comprender las aplicaciones en la nube, así como proporcionarles seguridad. Solo Netskope faculta a las organizaciones para el uso directo de aplicaciones en la nube, protege los datos confidenciales y asegura el cumplimiento de las políticas, en tiempo real, en cualquier dispositivo y para cualquier aplicación en la nube, de modo que la empresa pueda moverse con rapidez y confianza.

NETSKOPE ACTIVE PLATFORM

DETECTAR LAS APLICACIONES EN LA NUBE Y CONOCER EL RIESGO

Detectar todas las aplicaciones en la nube, tanto autorizadas por la organización como procedentes de la práctica de "TI en la sombra"

Incluir las aplicaciones en la nube en ejecución en las instalaciones, de forma remota o en dispositivos móviles u ordenadores personales

Evaluar y puntuar las aplicaciones según su adecuación a la empresa, en términos de seguridad, auditabilidad y continuidad del negocio

Evaluar el riesgo de estas aplicaciones en función del uso que la organización hace de ellas

Tomar decisiones basadas en el riesgo sobre si estandarizar determinadas aplicaciones y realizar la migración de los usuarios a las mismas

ENTENDER EL USO QUE SE HACIENDO DE LAS APLICACIONES EN LA NUBE

Explorar en profundidad la identidad del usuario, por ejemplo, usuario, grupo, dispositivo, navegador, geolocalización y hora

Conocer la aplicación, por ejemplo, si se trata de una aplicación, una instancia de aplicación o una categoría de aplicación

Determinar cuáles son las actividades de las aplicaciones en la nube como, por ejemplo, "descargar", "cargar", "compartir", "editar" o actividades administrativas, así como saber con quién se ha compartido el contenido, si procede

Ver detalles de contenido como, por ejemplo, el tipo de contenido, el nombre de objeto o archivo, y el perfil de DLP, si procede

Llevar a cabo un descubrimiento electrónico del contenido existente en reposo dentro de una aplicación, incluso con respecto a un perfil de DLP

ANÁLISIS PARAEL SEGUIMIENTO Y LA DETECCIÓNDE ANOMALÍAS

Realizar análisis en profundidad sobre el comportamiento de los usuarios, utilizando cualquiera de los parámetros de visibilidad descritos anteriormente

Comprobar la actividad y el comportamiento de los usuarios con respecto a las líneas de referencia para detectar anomalías

Analizar el rendimiento de las aplicaciones en la nube como, por ejemplo, tiempo de actividad, latencia y cumplimiento de los acuerdos de nivel de servicio

Realizar análisis minuciosos de las actividades de los usuarios que dan lugar a incidentes o infracciones

PREVENCIÓN DE LA PÉRDIDA DE DATOS EN LA NUBE

Crear perfiles de DLP relevantes para las aplicaciones en la nube, que incluyan información de identificación personal, información de las tarjetas de pago, información electrónica sobre la salud personal, etc.

Basar los perfiles de DLP en las normas y los identificadores de datos habituales del sector. También es necesario incorporar un contexto generoso (aplicaciones, usuarios, hora, ubicación y actividades de los usuarios) a las políticas de DLP

Descubrir el contenido en tiempo real según se está cargando, descargando y compartiendo, así como el contenido que ya se encuentra almacenado en la aplicación en la nube y llevar a cabo acciones como, por ejemplo, poner en cuarentena, cifrar, modificar la propiedad o modificar los permisos de uso compartido

Definir políticas de DLP que se hagan efectivas no solo en una aplicación, sino en una categoría completa o de forma global, en caso necesario

Asegurarse de que las políticas de DLP se pueden aplicar en tiempo real antes de que se produzca una filtración de datos

PROPORCIONAR SEGURIDAD A LAS APLICACIONES EN LA NUBE MEDIANTE LA APLICACIÓN DE POLÍTICAS EN TIEMPO REAL

Aplicar políticas granulares concretas basadas en cualquier parámetro de visibilidad o perfil de DLP descrito anteriormente

Definir las políticas una sola vez y que se apliquen en tiempo real a cualquier aplicación, a nivel de categoría, a nivel de aplicación o de forma global

Aplicar políticas independientemente de que el usuario pueda gestionar o no la aplicación, o incluso aunque disponga de privilegios administrativos

Aplicar políticas en tiempo real, antes de que se produzca el comportamiento o evento no deseado

Ofrecer a los usuarios formación sobre infracciones de políticas para que conozcan cuáles son los comportamientos de riesgo y crear transparencia

DETECTAR CONOCER ASEGURAR

WHITE PAPER 5

DETECTAR TODAS LAS APLICACIONES EN LA NUBE, TANTO AUTORIZADAS POR LA ORGANIZACIÓN COMO PROCEDENTES DE LA PRÁCTICA DE "TI EN LA SOMBRA"Para detectar todas las aplicaciones en la nube que se encuentren en ejecución en su organización, Netskope combina su herramienta Cloud Confidence Index™ (CCI), un repositorio de miles de aplicaciones empresariales en la nube, con un análisis del tráfico basado en algoritmos que descubre aplicaciones desconocidas. Esto permite saber qué aplicaciones están en uso en la organización y sienta las bases para un posterior análisis y la formulación de políticas. Más allá de detectar aplicaciones, Netskope informa de la puntuación de cada aplicación según su adecuación a la empresa, en términos de seguridad, auditabilidad y continuidad del negocio. Además, combina esta puntuación con el uso específico que hace de ella la organización para ofrecerle una puntuación de riesgo específica para su entorno.

NETSKOPE ACTIVE PLATFORM IDENTIFICA LAS APLICACIONES EN LA NUBE QUE SE ENCUENTRAN EN EJECUCIÓN EN ACME CORP.

NETSKOPE ACTIVE PLATFORM INFORMA A ACME DE LAS APLICACIONES QUE SUPONEN UN RIESGO

WHITE PAPER 6

VER LAS APLICACIONES Y EL USO EN CONTEXTO GRACIAS A NETSKOPE ACTIVE VISIBILITYNetskope Active Visibility no solo proporciona información acerca de las aplicaciones y los usuarios, también ofrece una visión completa de cómo se utilizan las aplicaciones dentro de la organización. Puede acceder rápidamente a información detallada para ver a qué aplicaciones o instancias de aplicaciones se están accediendo, quién accede, el número y la duración de cada sesión de aplicación, dónde se encuentran las personas cuando acceden a las aplicaciones, qué dispositivos y navegadores se están utilizando, qué servicios de aplicación están consumiendo, qué acciones independientes están realizando (iniciar sesión, modificar datos, descargar contenido, cargar contenido, compartir contenido, acciones administrativas como, por ejemplo, escalada de privilegios, etc.), qué tipo de contenido y el nombre de objeto o archivo que están manejando, si se considera información confidencial según sus perfiles de DLP, y dónde y con quién se está compartiendo. Por otra parte, Netskope normaliza estas actividades, de modo que se pueda obtener una visión coherente de los comportamientos de las aplicaciones y usar un único criterio para aplicar una sencilla política de forma uniforme en todas las aplicaciones relevantes en lugar de tener que definir políticas aplicación a aplicación. Por ejemplo, las acciones "compartir" y "enviar", "descargar" y "guardar", y "editar" y "modificar" pueden significar la misma cosa en distintas aplicaciones. Imagínese esto en las más de 150 aplicaciones de almacenamiento en la nube diferentes existentes en el mercado, de las cuales una docena o más podrían estar en uso en su organización, lo que le obligaría a adoptar un enfoque manual y a analizar aplicación a aplicación. Y esto solo con respecto al almacenamiento en la nube. Netskope normaliza todas estas actividades de usuario en más de 50 categorías de aplicaciones por lo que no es necesario conocer cada aplicación y genera un mapa de sus actividades para poder comprender qué es lo que sucede.

NETSKOPE ACTIVE PLATFORM PERMITE A LOS USUARIOS OBTENER INFORMACIÓN DETALLADA DE CADA UNA DE LAS ACCIONES QUE SE PRODUCE EN UNA SESIÓN

NETSKOPE ACTIVE PLATFORM MUESTRA LOS PATRONES DE TRÁFICO Y ACCESO DE LOS USUARIOS A LAS APLICACIONES EN LA NUBE DE ACME CORP.

WHITE PAPER 7

REALIZAR ANÁLISIS EN PROFUNDIDAD CON NETSKOPE ACTIVE ANALYTICSNetskope Active Analytics permite utilizar cualquiera de los parámetros anteriormente mencionados y responde a cualquier pregunta de seguridad o sobre negocios, para conocer el quién, qué, cuándo, dónde y con quién de cualquier actividad de usuario o administrador dentro de una aplicación en la nube, la actividad total de los usuarios o la actividad en comparación con una línea de referencia. Gracias a Netskope, se pueden realizar consultas granulares, recibir avisos relacionados con anomalías conductuales granulares, realizar análisis minuciosos tras un incidente de seguridad o una filtración, así como definir listas de observación que le avisarán sobre cualquier actividad. También puede elaborar análisis sobre el rendimiento de las aplicaciones y realizar cortes por cualquiera de los parámetros de visibilidad anteriormente mencionados.

DETECTAR ANOMALÍAS EN CONTEXTO GRACIAS A NETSKOPE ACTIVE ANALYTICS

EVITAR LA PÉRDIDA DE DATOS CONFIDENCIALES GRACIAS A NETSKOPE ACTIVE CLOUD DLPNetskope Active Cloud DLP es una solución única que impide la pérdida de datos confidenciales en la nube de una forma adecuada al contexto y a la actividad, funciona en tiempo real y se puede aplicar a cualquier aplicación, no aplicación a aplicación.

Gracias a Netskope, puede incorporar detalles de uso y aplicaciones en la nube como, por ejemplo, la aplicación, su categoría, la puntuación según su adecuación a la empresa proporcionada por Netskope ICC, el usuario o grupo, la ubicación del usuario o de la aplicación, la hora del día, el dispositivo, el navegador y la actividad de usuario (por ejemplo, "cargar", "descargar" o "ver") a sus políticas, lo que le ayudará a ser preciso en la identificación de los posibles casos de pérdida de datos, y de este modo proteger los datos de forma específica. Esto contribuye a aumentar la precisión de la detección y protección de los datos confidenciales. También puede llevar a cabo una tarea de introspección en determinadas aplicaciones para realizar un descubrimiento electrónico del contenido en reposo que coincida con un determinado perfil de DLP y, a continuación, llevar a cabo acciones sobre dicho contenido como, por ejemplo, modificar la propiedad, ponerlo en cuarentena o cifrarlo.

Netskope Active Cloud DLP utiliza el sistema de inspección de contenido habitual del sector, que incorpora más de 3000 identificadores de datos independientes del idioma en cientos de categorías y más de 400 tipos de archivo. Estos identificadores se combinan para formar las reglas de DLP que componen los perfiles de DLP. A partir de estos perfiles, se pueden definir precisas políticas contextuales en Netskope Active Platform. Netskope Active Cloud DLP se proporciona con perfiles de DLP predefinidos. Además, permite configurar perfiles personalizados de una forma rápida y sencilla. Esto se traduce en la confianza de saber que está usando los elementos fundamentales y plenamente probados de DLP habituales del sector en sus políticas y protegiendo sus datos en contexto, lo que ofrece precisión y eficacia.

WHITE PAPER 8

PERFILES DE DLP DE NETSKOPE ACTIVE CLOUD

APLICAR POLÍTICAS GRANULARES EN TIEMPO REAL A CUALQUIER APLICACIÓN GRACIAS A NETSKOPE ACTIVE POLICIESUna vez descubiertas y analizadas sus aplicaciones en la nube y su uso en el contexto de sus políticas comerciales, Netskope Active Policies permite definir y aplicar políticas granulares que se aplicarán a todas las aplicaciones en la nube que se especifiquen (una aplicación, una instancia de aplicación, una categoría de aplicaciones o todas las aplicaciones en la nube de su entorno) con unos pocos clics. De hecho, a medida que haga clic y acceda a los parámetros de visibilidad anteriormente descritos durante el análisis del uso de las aplicaciones en la nube, Netskope Active Platform irá almacenando una serie de datos que se podrán transformar en una política gracias a Netskope Active Policies en cualquier momento. Además de incorporar detalles contextuales a su política como, por ejemplo, el dispositivo y la ubicación, también puede incorporar perfiles de DLP y puntuaciones de aplicaciones proporcionadas por ICC a la formulación de políticas para reducir la apertura contextual con el fin de que sea selectiva y precisa, lo que reducirá al mínimo los falsos positivos y los falsos negativos. Por último, Netskope ofrece una gran variedad de acciones que se pueden especificar como resultado del incumplimiento de una política. Puede bloquear, generar una alerta, desviar, cifrar, formar a los usuarios o poner en marcha un flujo de trabajo para solucionar, registrar o notificar la actividad o el evento que incumple la política. Algunos ejemplos del nivel de granularidad en el que se puede incluir una política: Permitir que los usuarios del departamento de ventas compartan cualquier tipo de material de apoyo público, pero impedir que se descarguen contenido

considerado como "confidencial" de una aplicación de almacenamiento en la nube Alertar al departamento de TI si un algún usuario del equipo de relaciones con los inversores comparte contenido de una aplicación de contabilidad o

finanzas con alguien de fuera de la empresa Bloquear a cualquier usuario ubicado fuera de EE. UU. que intente descargar contactos de cualquier aplicación de CRM Permitir únicamente la carga de datos en aquellas aplicaciones con una puntuación proporcionada por CCI con un valor "Medio" o superior, y bloquear las

cargas en las demás aplicaciones

NETSKOPE ACTIVE POLICIES PERMITE A LOS ADMINISTRADORES APLICAR POLÍTICAS GRANULARES CONTEXTUALES

WHITE PAPER 9

NETSKOPE ACTIVE POLICIES PERMITE FORMAR A LOS USUARIOS CON MENSAJES PERSONALIZADOS

CÓMO FUNCIONA NETSKOPE ACTIVE PLATFORMCuando creamos Netskope Active Platform, nos imaginábamos proporcionándole detallados puntos de vista y toneladas de flexibilidad para que pudiera responder a cualquier pregunta de seguridad o sobre negocios relacionada con las aplicaciones en la nube de su organización, así como la fuerza necesaria para aplicar sus políticas en tiempo real.

Con el fin de lograr este objetivo, sabíamos que necesitábamos inspeccionar el tráfico de las aplicaciones en la nube, además de adoptar un enfoque radicalmente distinto con respecto a la búsqueda de datos y a las actuaciones. Estar en el plano de los datos conlleva un alto nivel de responsabilidad, por lo que reunimos a un grupo de arquitectos e ingenieros veteranos de experiencia demostrada, incluidos algunos de los arquitectos fundadores o creadores de empresas como NetScreen, Palo Alto Networks, Juniper, Cisco y McAfee, que ya habían resuelto problemas similares en el pasado.

En primer lugar, comenzamos echando un vistazo al tráfico de la capa de aplicación y, en lugar de llevar a cabo una inspección en profundidad de los paquetes de red, desarrollamos un método de inspección en profundidad de las transacciones de las aplicaciones en la nube en tiempo real y de todas las llamadas a estas, independientemente de si las operaciones se realizaban dentro de los límites de la red empresarial o desde el exterior, desde un portátil o un dispositivo móvil, o desde un navegador o una aplicación nativa. Esto es lo que llamamos "Deep API Inspection" o DAPII. A diferencia de los métodos de reconocimiento de patrones existentes como, por ejemplo, la inspección de tráfico "GET" y "POST" en sesiones web para detectar sitios web inadecuados o maliciosos, DAPII se basa en la información disponible a través de las transacciones de la API, tal como se producen realmente.

Hemos creado conectores, o integraciones estandarizadas, para aplicaciones en la nube que se utilizan para interpretar la "conversación" entre los navegadores y las aplicaciones. Los conectores transmiten estas conversaciones mediante archivos JSON, que contienen una estructura y un formato que permiten a Netskope comprender las acciones que un usuario está realizando en la aplicación a medida que se producen, y además normalizan aquellas actividades de todas las aplicaciones de las que se encarga Netskope. De este modo, como en el ejemplo anterior, si alguien "comparte" contenido de una aplicación y la "envía" a otra, Netskope lo sabrá e informará del hecho de que se trata de la misma acción. En resumen, Netskope permite ver lo que está pasando realmente dentro de una aplicación sin tener que desmenuzar ni conocer dicha aplicación. Por ejemplo, sin Netskope, se podría ver que un usuario ha accedido a una URL, y que durante la sesión, se han enviado o recuperado 973 bytes de subida, mientras que con Netskope se puede obtener una descripción mucho más detallada, adecuada al contexto e inteligente de lo que ha sucedido: "Joe, del departamento de banca de inversión y que actualmente se encuentra en Japón, ha compartido su directorio M&A (fusiones y adquisiciones) con un inversor de un fondo de alto riesgo a las 10 de la noche, algo que no había hecho antes."

Vale la pena detenerse un momento a explicar cómo nos aseguramos de adquirir visibilidad y cómo se aplican las políticas de una forma dinámica al tráfico y a las transacciones de las aplicaciones en la nube de su empresa. Facilitamos y disponemos de implementaciones de producción en diferentes opciones de implementación: fuera de banda, en línea y mutuamente no excluyentes. Cada uno de estos métodos tiene un nivel diferente de cobertura teórica, visibilidad y aplicación, desde el más básico hasta el más avanzado, y tienen lugar en tiempo real, así que es importante elegir el adecuado para cada caso. Entre las opciones se incluyen:

Fuera de banda: Basado en registros. Se pueden cargar sin conexión registros a Netskope desde los equipos de red situados dentro del perímetro, tales como una

puerta de enlace web o un cortafuegos de última generación. Introspección a través de conectores API. La conexión a la aplicación autorizada se realiza mediante el estándar de autorización OAuth lo que permite

controlar el contenido que ya se encuentra en la aplicación. Tenga en cuenta que esto solo se aplica a las aplicaciones autorizadas y administradas por el departamento de TI.

En línea: Sin agentes. El tráfico de red de las aplicaciones en la nube generado en las instalaciones por los usuarios se conduce a uno de los cuatro centros

de datos certificados más cercano de Netskope SOC-1/SOC-2, SSAE- 16 tipo 2 de todo el mundo, que se encuentra situado entre su red y las aplicaciones en la nube y que es transparente para los usuarios.

WHITE PAPER 10

Agente ligero o perfil móvil. El tráfico de red en la nube remoto de los usuarios se conduce hasta Netskope a través de un agente o, si se trata de un dispositivo móvil, a través de un perfil móvil.

Proxy inverso. El tráfico se redirige a una URL modificada de las aplicaciones en la nube autorizadas. Tenga en cuenta que esto solo se aplica a las aplicaciones autorizadas y administradas por el departamento de TI.

En el primer método de fuera de banda, el análisis de los registros proporciona información sobre cuáles son las aplicaciones de las que dispone la organización. Netskope Active Platform las clasifica, lo que proporciona una visión de su adecuación a la empresa y una valoración del riesgo basada en una combinación de la adecuación a la empresa de dichas aplicaciones. Aunque resulta útil, es solo una pequeña fracción de lo que se puede ver y no incluye la aplicación de políticas en tiempo real que se puede obtener gracias a las demás implementaciones.

En el segundo método de fuera de banda, la introspección en las aplicaciones ofrece una visión detallada de las aplicaciones específicas de las que usted es el administrador. Permite realizar un descubrimiento electrónico y un inventario, tanto del contenido como de los usuarios de dicho conte-nido. A continuación, permite llevar a cabo acciones sobre dicho contenido, entre las que se incluyen reasignar la propiedad, definir permisos de uso compartido, poner en cuarentena los archivos y aplicar cifrado a los datos en reposo.

Los métodos en línea inspeccionan el tráfico de las aplicaciones en la nube de la empresa y proporcionan una gran visibilidad, la posibilidad de reali-zar análisis en tiempo real y aplicar políticas dinámicas para las aplicaciones en la nube de la empresa. Cada nivel tiene su propio grado de cobertura que se basa en las limitaciones teóricas del método. El método sin agentes es un procedimiento "sin contacto" para obtener el tráfico de red de las aplicaciones en la nube generado en las instalaciones desde los ordenadores personales o los dispositivos móviles de los usuarios y enviarlo a la nube de Netskope para su análisis. Dado que se encuentra en el punto de salida de la red, existe una limitación debida al tráfico de red generado en las instalaciones. El agente ligero proporciona las mismas opciones de visibilidad, análisis y aplicación de políticas que el método sin agentes, pero también cubre cualquier dispositivo que se encuentre fuera de las cuatro paredes de su organización. Y, por último, el método de proxy inverso es un procedimiento "sin contacto" para obtener el control y la visibilidad de las aplicaciones en la nube; sin embargo, está limitado únicamente a las aplicaciones de las que usted sea el administrador.

DISEÑO TOPOLÓGICO DE NETSKOPE

INTERNET

OPCIONES DE IMPLEMENTACIÓN

APLICACIONES EN LA NUBE PÚBLICA

ANÁLISIS Y MOTOR DE POLÍTICAS EN TIEMPO REAL

CONSOLA DE ADMINISTRACIÓN DE NETSKOPE

APIs DE NETSKOPE

NUBE PRIVADA/HÍBRIDA

(Miles)

PROXY

REVERSE

INTROSPECTION

¿Cómo maneja Netskope la aplicación de políticas en las implementaciones en línea? Cuando el tráfico de red de las aplicaciones en la nube alcanza el plano de datos de Netskope de uno de nuestros centros de datos, el tráfico cifrado pasará a nuestras manos, interpretaremos la actividad de los usuarios dentro de las aplicaciones mediante DAPII y, a continuación, rechazaremos o llevaremos a cabo una acción tipo "if-then" (por ejemplo, una alerta o un flujo de trabajo) sobre cualquier función de esta API para la que se haya creado una política. Cuando se inicia el proceso de aplicación de políticas en docenas de aplicaciones en lugar de en una o dos, Netskope se torna aún más valioso. Al definir una política, cabe esperar que se pueda aplicar a una aplicación, a toda una categoría de aplicaciones o a todas las aplicaciones en la nube de forma universal. Dado que Netskope tiene el duro trabajo de identificar y normalizar los comportamientos de todas las aplicaciones en la nube, al definir una política una sola vez, sabrá que se aplicará a todas las aplicaciones que desee. Por tanto, al definir una política granular como la de "dejar que los empleados de mi centro de atención telefónica utilicen CRM, pero no permitirles que descarguen contactos de clientes a un dispositivo móvil si están fuera de mi país", o definir políticas sobre qué aplicaciones se permiten y no se permiten en función de la puntuación proporcionada por CCI, sabe que estas políticas se aplicarán justo antes de que tenga lugar un acto no deseado… y que esto puede hacerse a velocidad de red y en toda la empresa.

WHITE PAPER 11

ACERCA DE NETSKOPENetskope™ es líder en habilitación segura de aplicaciones en la nube. Netskope Active Platform™ permite a los departamentos de TI detectar y comprender las aplicaciones en la nube, así como proporcionarles seguridad. Solo Netskope faculta a las organizaciones para el uso directo de aplicaciones en la nube, protege los datos confidenciales y asegura el cumplimiento de las políticas, en tiempo real, en cualquier dispositivo y para cualquier aplicación en la nube, de modo que la empresa pueda moverse con rapidez y confianza.

©2015 Netskope, Inc. Todos los derechos reservados. 270 3rd Street, Los Altos, CA 94022Netskope es una marca comercial registrada y Cloud Confidence Index, Netskope Active, SkopeSights son marcas comerciales de Netskope, Inc. Todas las demás marcas comerciales son marcas registradas de sus respectivos propietarios. 01/15 WP-2-5